Detecção de Malware SVCReady: Um Novo Loader Massivamente Distribuído via Phishing
Índice:
Conheça o SVCReady, um novo carregador malicioso na arena! Esta nova variante é amplamente distribuída via campanhas de phishing desde abril de 2022, aproveitando uma rotina de infecção incomum. Segundo especialistas, o SVCReady depende de shellcode oculto nas propriedades do documento do Microsoft Office, permitindo que passe despercebido pelas soluções de segurança. Como o malware está atualmente em desenvolvimento ativo, com frequentes atualizações de funcionalidade observadas até o momento, truques e recursos sofisticados adicionais podem ser adicionados em breve para fortalecer suas capacidades.
Detectar Malware SVCReady
Identifique a atividade maliciosa relacionada ao novo carregador SVCReady com uma regra Sigma dedicada pelo nosso experiente desenvolvedor do Threat Bounty Kaan Yeniyol. Ansioso para monetizar suas habilidades de detecção de ameaças? Participe do nosso Programa Threat Bounty, publique suas regras Sigma na plataforma SOC Prime e receba recompensas recorrentes enquanto contribui para a defesa cibernética colaborativa.
A regra abaixo detecta persistências suspeitas do SVCReady identificando a Tarefa Agendada associada.
A detecção é compatível com 18 formatos de SIEM, EDR & XDR e está alinhada com o framework MITRE ATT&CK® versão 10, abordando a tática de Execução com Tarefa/Job Agendado (T1053) como a técnica principal.
Para acessar toda a coleção de regras Sigma para detectar as últimas ameaças cibernéticas, clique no botão Detectar & Caçar abaixo. Para explorar o contexto adicional da ameaça, incluindo ideias para Detecção de Ameaças, orientação para Engenharia de Detecção e links para a mais recente Inteligência de Ameaças Cibernéticas, clique no botão Explorar Contexto de Ameaça e acesse imediatamente o mecanismo de busca da SOC Prime para ameaças cibernéticas.
Detectar & Caçar Explorar Contexto de Ameaça
Análise do SVCReady
De acordo com a investigação pela equipe de pesquisa de ameaças da HP, o SVCReady é uma família de malware anteriormente indocumentada que surgiu em abril de 2022. Desde então, o novo carregador está sendo amplamente distribuído via campanhas de phishing.
A cadeia de infecção normalmente começa com um e-mail de phishing contendo documentos maliciosos do Microsoft Word anexados. Contudo, em vez da prática tradicional de utilizar PowerShell ou MSHTA via macro malicioso, os mantenedores do SVCReady dependem de VBA para executar shellcode inserido nas propriedades do arquivo .doc. Uma vez extraído e executado com macro, o shellcode é carregado na memória para usar a funcionalidade “Virtual Protect” da API do Windows e obter direitos de acesso executáveis. Na próxima etapa, a API SetTimer executa o shellcode que resulta em uma carga maliciosa sendo entregue à instância alvo.
Após a infecção, o carregador SVCReady é capaz de realizar uma longa lista de ações maliciosas, incluindo o download de arquivos para o cliente comprometido, capturar screenshots, executar comandos de shell, estabelecer persistência por meio de uma tarefa agendada, executar arquivos e entregar cargas adicionais ao ambiente infectado. Pesquisadores da HP identificaram vários casos de RedLine stealer sendo entregues pelo SVCReady em abril de 2022.
Coletivo TA551 (Shatak) é suspeito de operar as campanhas SVCReady desde que os especialistas da HP observam uma grande sobreposição nas táticas. Especificamente, a pesquisa aponta para as iscas de imagem, URLs de recursos e outros detalhes utilizados pelo SVCReady e associados às rotinas do TA551 observadas no passado. No entanto, a atribuição exata das campanhas ainda é incerta.
Aproveite o poder da defesa cibernética colaborativa e beneficie-se da plataforma de Detecção como Código mais avançada do mundo incluindo acesso a mais de 190 mil algoritmos de detecção curados disponíveis para mais de 25 soluções de SIEM, EDR & XDR.
